配置RADIUS服务器组

CloudEngine 12800, 12800E V200R005C10 配置指南-安全

本文档介绍了安全的配置，具体包括AAA配置、802.1x认证配置、ACL配置、TCAM ACL资源自定义配置、本机防攻击配置、微分段、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、MACsec配置、DHCP Snooping配置、IPSG配置、URPF配置、SSL配置、Keychain配置和FIPS配置。

前言
AAA配置
- AAA简介
- AAA原理描述
- AAA应用场景
- AAA配置注意事项
- AAA配置任务概览
- 配置采用本地方式进行认证和授权
- 配置采用RADIUS方式进行认证、授权和计费
- 配置采用HWTACACS方式进行认证、授权和计费
- 清除AAA统计信息
- AAA配置举例
  - 配置采用RADIUS协议进行认证和计费示例
  - 配置采用HWTACACS协议进行认证、授权和计费示例
- AAA常见配置错误
  - 配置简单密码导致创建AAA本地用户失败
802.1x认证配置
- 802.1x原理描述
- 802.1x应用场景
- 802.1x配置注意事项
- 802.1x缺省配置
- 配置802.1x认证
- 维护802.1x认证
  - 清除802.1x认证报文统计信息
  - 强制在线用户下线
- 802.1x配置举例
  - 配置通过802.1x认证控制企业用户访问网络示例
ACL配置
- ACL简介
- ACL原理描述
- ACL应用场景
- ACL配置注意事项
- ACL缺省配置
- 配置基本ACL
- 配置高级ACL
- 配置二层ACL
- 配置用户自定义ACL
- 配置基于ARP的ACL
- 配置基本ACL6
- 配置高级ACL6
- 维护ACL
  - 清除ACL的统计信息
  - 查看业务使用ACL资源的信息
- ACL配置举例
- ACL FAQ
  - 应用在流策略中的ACL不支持对哪些报文进行过滤？
TCAM ACL资源自定义配置
- TCAM ACL资源自定义简介
- TCAM ACL资源自定义配置注意事项
- TCAM ACL资源自定义功能配置
  - 使能TCAM ACL资源自定义功能
  - 配置业务使用TCAM ACL资源自定义功能
- 查看TCAM ACL自定义模板或预置模板信息
- TCAM ACL资源自定义配置举例
  - 配置TCAM ACL资源自定义示例
微分段配置
- 微分段简介
- 微分段原理描述
- 微分段应用场景
- 微分段配置注意事项
- 配置微分段
- 维护微分段
  - 查看微分段统计信息
  - 清除微分段统计信息
- 微分段配置举例
  - 配置基于IP地址的微分段示例
本机防攻击配置
- 本机防攻击简介
- 本机防攻击配置注意事项
- 本机防攻击缺省配置
- 配置CPU防攻击
- 配置攻击溯源
- 维护本机防攻击
- 本机防攻击配置举例
  - 配置本机防攻击示例
- 本机防攻击常见配置错误
MFF配置
- MFF简介
- MFF原理描述
- MFF应用场景
- MFF配置注意事项
- 配置MFF
- MFF配置举例
  - 配置MFF功能实现用户的二层隔离和三层互通示例
- MFF常见配置错误
  - 配置MFF功能后用户不能上网
攻击防范配置
- 攻击防范简介
- 攻击防范原理描述
- 攻击防范应用场景
- 攻击防范配置注意事项
- 攻击防范缺省配置
- 配置畸形报文攻击防范
- 配置分片报文攻击防范
- 配置泛洪攻击防范
- 清除攻击防范统计信息
- 攻击防范配置举例
  - 配置攻击防范示例
流量抑制及风暴控制配置
- 流量抑制及风暴控制简介
- 流量抑制及风暴控制原理描述
  - 流量抑制的基本原理
  - 风暴控制的基本原理
- 流量抑制及风暴控制应用场景
  - 流量抑制的典型应用
  - 风暴控制的典型应用
- 流量抑制及风暴控制配置注意事项
- 流量抑制及风暴控制缺省配置
- 配置流量抑制
- 配置风暴控制
- 流量抑制及风暴控制配置举例
  - 配置流量抑制示例
  - 配置风暴控制示例
ARP安全配置
- ARP安全简介
- ARP安全原理描述
- ARP安全应用场景
  - 防ARP泛洪攻击
  - 防ARP欺骗攻击
- ARP安全配置注意事项
- ARP安全缺省配置
- 配置防ARP泛洪攻击
- 配置防ARP欺骗攻击
- 维护ARP安全
- ARP安全配置举例
  - 配置ARP安全综合功能示例
  - 配置防止ARP中间人攻击示例
端口安全配置
- 端口安全简介
- 端口安全原理描述
- 端口安全应用场景
- 端口安全配置注意事项
- 端口安全缺省配置
- 配置端口安全
- 端口安全配置举例
  - 配置端口安全示例
MACsec配置
- MACsec简介
- MACsec原理描述
- MACsec应用场景
- MACsec缺省配置
- MACsec配置注意事项
- 配置MACsec
- 维护MACsec
  - 查看MACsec统计信息
  - 清除MACsec统计信息
- MACsec配置举例
  - 配置点到点的MACsec示例
DHCP Snooping配置
- DHCP Snooping简介
- DHCP Snooping原理描述
  - DHCP Snooping的基本原理
  - DHCP Snooping支持的Option82功能
- DHCP Snooping应用场景
- DHCP Snooping配置注意事项
- DHCP Snooping缺省配置
- 配置DHCP Snooping的基本功能
- 配置DHCP Snooping的攻击防范功能
- 配置在DHCP报文中添加Option82字段
- 维护DHCP Snooping
- DHCP Snooping配置举例
  - 配置DHCP Snooping的攻击防范功能示例
- DHCP Snooping常见配置错误
  - DHCP Snooping导致用户无法上线
IPSG配置
- IPSG概述
- IPSG配置注意事项
- IPSG缺省配置
- 配置IPSG
- 维护IPSG
  - 查看丢弃的IP报文统计信息
  - 清除丢弃的IP报文统计信息
- IPSG配置举例
  - 配置通过IPSG功能对IP报文的接口+IP+MAC信息进行匹配检查示例
URPF配置
- URPF概述
- URPF原理描述
- URPF应用场景
- URPF配置注意事项
- URPF缺省配置
- 配置URPF
- URPF配置举例
  - 配置URPF功能示例（CE12800）
  - 配置URPF功能示例（CE12800E）
SSL配置
- SSL简介
- SSL原理描述
- SSL应用场景
  - SSL在信息中心中的应用
- SSL配置注意事项
- 配置SSL
  - 配置SSL策略
  - 应用SSL策略
- SSL配置举例
  - 配置向日志主机输出SSL加密后的Log信息示例
Keychain配置
- Keychain简介
- Keychain原理描述
- Keychain应用场景
- Keychain配置注意事项
- 配置Keychain
- Keychain配置举例
  - 配置RIP应用Keychain认证示例
  - 配置BGP应用Keychain认证示例
FIPS配置
- FIPS概述
- 配置FIPS模式
业务与管理隔离配置
安全风险查询
设置系统主密钥

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置RADIUS服务器组

背景信息

配置RADIUS服务器组中的关键步骤是指定服务器的IP地址和端口号、RADIUS共享密钥。其他的步骤如配置RADIUS用户名格式、RADIUS请求报文的超时重传次数等都有缺省配置，用户可以根据实际需要进行修改。

RADIUS服务器组下的配置如RADIUS用户名格式、RADIUS共享密钥要与RADIUS服务器上的配置一致。

操作步骤

执行命令system-view，进入系统视图。
执行命令radius enable，使能RADIUS协议功能。
缺省情况下，未使能RADIUS协议功能。
（可选）执行命令radius server { dead-count dead-count [ fail-rate fail-rate-value ] | dead-interval dead-interval | dead-time dead-time [ recover-count invalid ] } ^*，配置RADIUS服务器Up/Down状态的时间间隔。
缺省情况下，dead-count是10，dead-interval是5秒，dead-time是3分钟。即判定RADIUS服务器异常的连续无响应次数为10次，从第一个没有响应报文到dead-count个数的没有响应报文之间的时间间隔为5秒，恢复RADIUS服务器状态的等待时间为3分钟。
执行命令radius server group group-name，创建RADIUS服务器组，并进入RADIUS服务器组视图。
执行命令radius server { shared-key key-string | shared-key-cipher cipher-string }，配置RADIUS服务器的共享密钥。
缺省情况下，未配置RADIUS服务器的共享密钥。
配置RADIUS主用认证服务器
- radius server authentication ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^*
- radius server authentication ipv6-address port [ shared-key key-string | shared-key-cipher cipher-string ]
- radius server authentication hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^*
缺省情况下，未配置RADIUS主用认证服务器。
（可选）配置RADIUS备用认证服务器
- radius server authentication ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^* secondary
- radius server authentication ipv6-address port [ shared-key key-string | shared-key-cipher cipher-string ] secondary
- radius server authentication hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^* secondary
缺省情况下，未配置RADIUS备用认证服务器。
配置RADIUS主用计费服务器
- radius server accounting ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^*
- radius server accounting ipv6-address port [ shared-key key-string | shared-key-cipher cipher-string ]
- radius server accounting hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^*
缺省情况下，未配置RADIUS主用计费服务器。
（可选）配置RADIUS备用计费服务器
- radius server accounting ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^* secondary
- radius server accounting ipv6-address port [ shared-key key-string | shared-key-cipher cipher-string ] secondary
- radius server accounting hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] ^* secondary
缺省情况下，未配置RADIUS备份计费服务器。
（可选）执行命令radius server accounting retransmit retransmit-number timeout timeout-value，配置RADIUS计费请求报文重传次数和超时时间。
（可选）执行命令radius server authentication retransmit retransmit-number timeout timeout-value，配置RADIUS认证请求报文重传次数和超时时间。
（可选）执行命令radius server user-name domain-excluded或radius server user-name original，配置RADIUS用户名格式。
缺省情况下，设备向RADIUS服务器发送的报文中的用户名包含域名。

如果RADIUS服务器不接受带域名的用户名，则需要执行此步骤。
（可选）执行命令radius server { retransmit retry-times | timeout time-value } ^*，设置RADIUS请求报文的超时重传次数和超时时间。
缺省情况下，RADIUS请求报文的超时重传次数为3，超时时间是5秒。
（可选）执行命令radius server nas-ip-address ip-address，配置RADIUS服务器组的NAS-IP-Address。
缺省情况下，未配置RADIUS服务器组的NAS-IP-Address，即以发送报文的接口的IP地址作为NAS-IP-Address。
（可选）执行命令radius server source interface interface-type interface-number，配置设备发送RADIUS报文使用的源接口。
缺省情况下，未配置设备发送RADIUS报文使用的源接口。
（可选）执行命令mode load-balance，将RADIUS服务器模式由主备模式切换成负载分担模式。
缺省情况下，RADIUS服务器为主备模式。
（可选）配置RADIUS属性禁用
1. radius server attribute translate，启动RADIUS属性转换功能。
  缺省情况下，未启动RADIUS属性转换功能。
2. 配置RADIUS属性禁用，有以下几种方式：
  - 执行命令radius attribute disable attribute-name { receive | send } ^*，配置响应报文或请求报文的属性禁用。
  - 执行命令radius attribute disable attribute-name { access-accept | access-request | account [ start ] } ^*，配置认证接受报文、认证请求报文或计费报文的属性禁用。
  - 执行命令radius attribute disable attribute-name { bin string | integer integer | ip ip-address | string string } receive，配置响应报文的属性值为指定数据类型的值时被禁用。
  缺省情况下，所有RADIUS属性均未被禁用。
（可选）执行命令radius attribute set attribute-name attribute-value命令，配置RADIUS属性的属性值。
缺省情况下，不改变RADIUS属性的属性值。
执行命令quit，返回系统视图。
（可选）执行命令radius server authorization ip-address [ vpn-instance vpn-instance-name ] { shared-key key-string | shared-key-cipher cipher-string } [ ack-reserved-interval interval ]或radius server authorization ipv6-address { shared-key key-string | shared-key-cipher cipher-string } [ ack-reserved-interval interval ]，配置RADIUS授权服务器。
缺省情况下，未配置RADIUS授权服务器。
执行命令commit，提交配置。

翻译

English

下载文档

更新时间：2021-09-17

文档编号：EDOC1100075484

浏览量：95526

下载量：434

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站

背景信息

操作步骤

相关版本

相关文档

数字签名